EU Datenschutz-Grundverordnung in der Sozialwirtschaft: Letzte Defizite und Lücken sollten schnell behoben werden

​veröffentlicht am 19. Juni 2018

Die EU-Datenschutzgrundverordnung hat als europäisches Recht Vorrang gegenüber nationalen Vorschriften. Sie ist seit dem 25. Mai 2016 in Kraft. Die Übergangsfrist betrug 2 Jahre und endete also zum 25. Mai dieses Jahres. Die Verschärfung der Bußgeldvorschriften, die bis zu 4 Prozent des Jahresumsatzes betragen können, ist in aller Munde, und sie hat inzwischen auch in der Sozialwirtschaft für eine hohe Aufmerksamkeit gesorgt. Dabei sind die materiellen Anforderungen, die gegenüber dem bisherigen BDSG tatsächlich verschärft wurden, eigentlich überschaubar. Allerdings: Viele Unternehmen der Sozialwirtschaft haben den Datenschutz in der Vergangenheit stiefmütterlich gehandhabt. Da das neue Datenschutzrecht (auch) für die Gesundheits- und Sozialwirtschaft gilt, rächt sich jetzt jede frühere Nachlässigkeit umso mehr. Da auch trotz des nun verstrichenen Stichtags vielerorts noch Ratlosigkeit vorherrscht, zeigen wir die dringlichsten Handlungspunkte für Unternehmen der Gesundheits- und Sozialwirtschaft.

Krankenhäuser, Pflegeeinrichtungen und Pflegedienste, Sozialunternehmen der kirchlichen und der freien Wohlfahrtspflege sowie in kommunaler Trägerschaft: Sie alle sind ganz besonderen Herausforderungen ausgesetzt, da sie besonders intensiv mit personenbezogenen Daten umgehen müssen. Der Kreis der betroffenen Personen reicht von Patienten, Bewohnern und Klienten über Mitarbeiter bis zu Angehörigen, Betreuern und sogar Lieferanten, sofern diese in der Rechtsform des Einzelunternehmens tätig sind. Anspruchsvoll für die Sozialunternehmen dürfte ganz besonders die faktische Beweislastumkehr sein, die mit der DSGVO einhergeht.

Persönliche Haftungsrisiken für Geschäftsführung

Weitgehend bekannt ist, dass die Sanktionen bei Rechtsverstößen erheblich verschärft werden. Weniger bekannt ist dagegen häufig, dass die generelle Haftung der gesetzlichen Vertreter für die Compliance auch in Bezug auf Datenschutzverstöße gilt. Bei Lücken in der Beweisführung darüber, dass die datenschutzrechtlichen Vorschriften eingehalten werden, kann also der Verdacht auf ein betriebliches Organisationsverschulden bestehen, mit entsprechender zivil- und ggf. auch strafrechtlicher Haftung der gesetzlichen Vertreter. Gänzlich unbekannt ist oft, dass diese Haftung auch ehrenamtliche gesetzliche Vertreter trifft, z.B. ehrenamtliche Vorstände eines Vereins.

Handlungsbedarf und seine Ursachen

Die neuen Anforderungen bedeuten insbesondere dann eine Herausforderung, wenn Einrichtungen sich bereits jetzt eher unsicher sind, ob sie denn die bisherigen Anforderungen des BDSG erfüllen. Gerade für die Einrichtungen der Sozialwirtschaft ergeben sich nach unserer täglichen Erfahrung 14 Punkte, die oft noch nicht „abgehakt“ sind und daher zu besonderen Risiken und Problemen führen. Bei einigen der Punkte, beispielsweise was die datenschutzkonforme Gestaltung von Verträgen betrifft, gibt es tieferliegende Ursachen außerhalb des eigentlichen Datenschutzmanagements, z.B. ein lückenhaftes Vertragsmanagement.

14 praktische Empfehlungen

1. Bestellung eines betrieblichen Datenschutzbeauftragten (bDSB)
2. Klärung der anzuwendenden Rechtsgrundlage(n)
3. Die Website datenschutzkonform gestalten
4. Datenschutzstruktur und strukturiertes Datenschutzmanagement
5. Identifikation / Argumentation bzgl. besonders sensibler Daten
6. Verarbeitungsverzeichnis
7. Technische und organisatorische Maßnahmen 8. Löschkonzept
9. Dokumentiertes Verfahren zur Datenschutz-Folgenabschätzung
10. Interne Anweisungen
11. Auftragsverarbeitung vertraglich fixieren
12. Schulungen
13. Datenpannen: Definition, Workflows, Dokumentation
14. Umsetzung des Auskunfts- und Löschungsrechtes der Betroffenen

1. Bestellung eines betrieblichen Datenschutzbeauftragten (bDSB)
   Die Pflicht zu Bestellung eines bDSB wird für Unternehmen der Sozialwirtschaft in aller Regel zu bejahen sein. Jedoch haben beispielsweise in der Pflegebranche zahlreiche Anbieter bislang darauf verzichtet. Nach Art. 37 Abs. 7 der DSGVO muss die verantwortliche Stelle, also das Unternehmen, die Kontaktdaten des Datenschutzbeauftragten der Aufsichtsbehörde mitteilen und veröffentlichen. Regelmäßig wird dies im Impressum der Website erwartet werden. Wer dies also bislang nicht erledigt hat, ist bereits in einem Rechtsverstoß und sollte sofort handeln.
2. Klärung der anzuwendenden Rechtsgrundlage(n))
   Neben der DSGVO tritt zum gleichen Stichtag das BDSG neu in Kraft. Daneben bestehen Landesdatenschutzgesetze sowie separate Gesetze im kirchlichen Bereich. Im Bereich der Evangelischen Kirche in Deutschland ist das EKD-Datenschutzgesetz zu nennen. Für die katholische Kirche gibt es das Gesetz über den kirchlichen Datenschutz (KDG), das für die Organisation der Kirche selbst, die Caritas und weitere kirchliche Rechtsträger gilt, sowie  die Kirchliche Datenschutzregelung der Ordensgemeinschaft (KDR-OG) mit Geltung für die Ordensgemeinschaften des päpstlichen Rechts.
   Für sog. nicht-öffentliche Stellen gelten stets die DSGVO und das BDSG (neu). Mit der Bezeichnung „nicht-öffentliche Stellen“ werden – allgemein umschrieben – privatrechtliche Unternehmen und deren Handeln von staatlichen Einrichtungen abgegrenzt. Als öffentliche Stellen gelten in diesem Sinne Behörden, aber auch Krankenhäuser, Verkehrsbetriebe oder Stadtwerke. Doch auch sie leben datenschutzrechtlich gesehen nicht im „rechtsfreien Raum“: Bei ihnen ist im jeweiligen Einzelfall zu klären, ob neben der DSGVO entweder das BDSG (neu) oder das jeweilige Landesdatenschutzgesetz Anwendung findet. Wichtig jedoch: Für das Handeln einer öffentlichen Stelle, mit dem diese am Wettbewerb teilnimmt, gilt dieselbe Rechtslage wie für nicht-öffentliche Stellen.
   
   Daher sollte man als Sozialunternehmen frühzeitig die Frage klären, welche Rechtsnormen anzuwenden sind.
3. Die Website datenschutzkonform gestalten
   Wegen der besonders leichten Kontrollierbarkeit der Website für jeden Außenstehenden empfiehlt sich eine besonders hohe Priorität für das Aufarbeiten eventueller Defizite auf den Unternehmens-Websites.
   
   Auch wenn ein betrieblicher Datenschutzbeauftragter bereits benannt ist, so ist doch trotzdem leider oft noch nicht daran gedacht worden, dessen Kontaktdaten auf der Website, möglichst im Impressum, zu veröffentlichen. Auch die rechtlich erforderlichen Datenschutzerklärungen sind entweder nicht vorhanden, oder sie erweisen sich – bei genauerem Hinsehen – als völlig veraltet, sowohl was die darin enthaltenen technischen Angaben betrifft, als auch datenschutzrechtlich gesehen.
   
   In der Praxis der Sozialwirtschaft werden wir dabei oft mit einem anderen, meist weit unterschätzten Problem konfrontiert: Der Überblick, welche verschiedenen URLs das Unternehmen im Laufe der Jahre angesammelt hat und unterhält, ist mitunter verloren gegangen. Dies ist z.B. dann oft der Fall, wenn für bestimmte Kampagnen oder Projekte jeweils eigene Sites eingerichtet wurden, teilweise vor Jahren, und mittlerweile derjenige nicht mehr im Unternehmen ist, der diese seinerzeit aufgebaut hatte.      
4. Datenschutzstruktur und strukturiertes Datenschutzmanagement
   Die Formulierung der Aufgaben des Datenschutzbeauftragten in Artikel 37 der DSGVO führt zu einem Effekt, der den meisten Verantwortlichen nur allmählich bewusst wird: Mit der Benennung eines betrieblichen Datenschutzbeauftragten (bDSB) ist keinesfalls eine ausreichende Berücksichtigung des Datenschutzes in den Verantwortlichkeiten des Unternehmens erfüllt, die Governance-Verpflichtungen sind also damit noch nicht umgesetzt. Die Aufgabe des bDSB ist fokussiert auf Überwachung und Beratung – er ist nicht operativ für den Datenschutz verantwortlich. Diese Verantwortung liegt vielmehr bei der Geschäftsleitung. Sie kann (und sollte unbedingt) die betriebliche Zuständigkeit für den Datenschutz in der Organisation des Betriebes ausdrücklich an Führungskräfte delegieren. Eine solche Delegation ist jedoch in der Praxis der Sozialwirtschaft bislang eher die Ausnahme.
   
   Ein weiterer wichtiger Hinweis: Aufgrund der faktischen Beweislastumkehr wird es wesentlich wichtiger als in der Vergangenheit, die Einhaltung der datenschutzrechtlichen Vorgaben aktiv und laufend zu dokumentieren. Dabei entstehen unterschiedliche Kategorien von Dokumenten, deren Versionen gemanagt sein wollen, außerdem Workflows, bei denen Termine verfolgt werden müssen und der Überblick nicht verloren gehen darf. Dafür kommt bei komplexeren Betrieben ein Datenschutzmanagementsystem in Frage, in dem alle Fäden zusammenlaufen.      
5. Identifikation / Argumentation bzgl. besonders sensibler Daten
   Das Entstehen sogenannter „besonders sensibler“ Daten i.S.v. Art. 9 DSGVO ist in einem Sozialunternehmen praktisch unvermeidbar, da Gesundheitsdaten automatisch zu diesen Daten zählen. Da für die Verarbeitung dieser Daten ein grundsätzliches Verbot mit Ausnahmen gilt, sollte schriftlich festgehalten werden, inwiefern hier eine solche Ausnahme vorliegt. Dies kann gut im Rahmen des Verarbeitungsverzeichnisses erfolgen.
6. Verarbeitungsverzeichnis
   Ebenfalls zwingend notwendig für die Erfüllung der nunmehr umgekehrten Beweislast ist das Führen eines datenschutzrechtlichen Verarbeitungsverzeichnisses. Es wird in der DSGVO ausdrücklich verlangt, außerdem sind die gesetzlich verankerten Betroffenenrechte anders nicht einzuhalten. Im Regelfall ist hierzu nichts oder weniges schriftlich vorhanden, sodass tatsächlich dringender Handlungsbedarf besteht. Im Netz sind unterschiedliche Arbeitshilfen und Muster verfügbar, beispielsweise beim Bayerischen Landesbeauftragten für den Datenschutz oder auch beim IT-Verband Bitkom.
7. Technische und organisatorische Maßnahmen
   Die DSGVO verlangt, dass das Unternehmen angemessene technische und organisatorische Maßnahmen trifft, um personenbezogene Daten zu schützen. In Verbindung mit der Beweislastumkehr bedeutet dies, dass das Unternehmen abwägen muss, mit welchen Schutzmaßnahmen ein angemessenes Niveau erreicht wird und dass es diese Maßnahmen umsetzen muss. Abwägung, Entscheidung und Maßnahmenumsetzung müssen aus Nachweisgründen dokumentiert sein.
8. Löschkonzept
   Die Zweckbindung der Datenerhebung, der Grundsatz der Datenminimierung im Art. 4 der DSGVO und schließlich die zu benennenden Löschungsfristen gem. Art. 30 Abs. 1 Buchst. f) führen im Ergebnis dazu, dass ein Löschkonzept entwickelt und dokumentiert werden muss. Weiterhin ist auch der Nachweis dazu erforderlich, dass die Löschungen im Sinne dieses Konzepts auch tatsächlich stattfinden.
   
   Die Notwendigkeit eines Löschkonzepts stellt in der Praxis regelmäßig die größte Herausforderung dar. Zum einen fehlt oftmals die zuverlässige Information darüber, welche personenbezogenen Daten in der Vergangenheit – sei es auf Papier oder in IT-Systemen bis hin zu einzelnen Speicherverzeichnissen – überhaupt wo aufbewahrt wurden. Zum anderen sehen zahlreiche, im Markt weitverbreitete Standard-IT-Systeme grundsätzlich keine Löschung von Daten vor. Letzterem sollte man als Verantwortlicher zumindest dadurch Rechnung tragen, dass man sich von den entsprechenden Softwareanbietern schriftlich bestätigen lässt, dass ihr jeweiliges Produkt derzeit technisch gesehen eine Löschung von Daten nicht ermöglicht.
9. Dokumentiertes Verfahren zur Datenschutz-Folgenabschätzung
   Ein Verfahren zur Datenverarbeitung kann für die Rechte und Freiheiten von Betroffenen hohe Risiken im Sinne der DSGVO mit sich bringen. In diesen Fällen muss der Verantwortliche, also beispielsweise das Krankenhaus, der Pflegeanbieter oder die Sozialeinrichtung, eine sog. Datenschutz-Folgenabschätzung durchführen. Wichtig ist dabei insbesondere, dass die Verfahren, die solche Risiken beinhalten, systematisch identifiziert werden und dass sowohl die eigentliche Risikoidentifikation als auch die darauf aufsetzende Datenschutz-Folgenabschätzung dokumentiert werden. Dies wird in der Regel auch papiergebundene Verfahren betreffen, denn das Schutzinteresse gilt unabhängig von der verwendeten Technik.
10. Interne Anweisungen
    Mit der DSGVO tritt für die Unternehmen faktisch eine Beweislastumkehr ein. Das heißt, dass das Sozialunternehmen, das Krankenhaus oder die Pflegeeinrichtung auf Anforderung der Datenschutzaufsichtsbehörden seinerseits belegen können muss, dass die DSGVO in der Einrichtung tatsächlich umgesetzt wird. Ein wichtiger Baustein in dieser Beweisführung sind konsistente und nachweislich bekannt gemachte interne Richtlinien und Anweisungen, beispielweise eine Datenschutzrichtlinie und eine IT-Benutzerrichtlinie.
11. Auftragsverarbeitung vertraglich fixieren
    Die bisherige Regelung der Auftragsdatenverarbeitung erfährt durch die DSGVO eine inhaltliche Anpassung, die in den bisher getroffenen Vereinbarungen umzusetzen sein wird. Viel wichtiger in der Praxis der Sozialwirtschaft dürfte allerdings der Umstand sein, dass Kooperationsverhältnisse mit anderen juristischen Personen, bei denen personenbezogene Daten hin- und herfließen, von den Verantwortlichen bisher noch nicht als Auftragsdatenverarbeitungsverhältnisse wahrgenommen werden und daher bislang noch gar nicht schriftlich geregelt sind. Achtung: Es existiert kein Konzernprivileg – sobald die Partnereinrichtung eine eigene rechtliche Person ist, sind Vereinbarungen zwingend erforderlich. Und je breiter das Leistungsangebot einer Einrichtung, umso höher ist auch die Gefahr, dass in der Vergangenheit von einzelnen Abteilungen externe Vertragsbeziehungen eingegangen wurden, für die eine Regelung zur Auftragsvereinbarung erforderlich wäre. Ein wirklich aktuell gepflegtes Vertragsmanagement ist leider nicht die Regel. Nur selten existiert also ein zuverlässiger Überblick über die externen Dienstleistungsbeziehungen. Dieser muss kurzfristig erstellt werden, um nicht in Haftungsrisiken hineinzulaufen.
12. Schulungen
    Im engen Zusammenhang mit den Anweisungen an sich steht die Notwendigkeit, Mitarbeiter zum Datenschutz zu sensibilisieren und entsprechend zu informieren. Beispielsweise wird sich die Informationspflicht des Unternehmens im Falle einer Datenpanne kaum erfüllen lassen, wenn die Mitarbeiter nicht geschult sind, Datenpannen zu erkennen und diese zu melden. Auch eine solche Unterweisung sollte aus Gründen der Beweisführung unbedingt dokumentiert sein.
13. Datenpannen: Definition, Workflows, Dokumentation
    Für die Meldung einer Datenpanne an die Aufsichtsbehörde wird eine Frist von (nur) 72 Stunden eingeführt. Für das Auslösen einer Meldepflicht genügt dabei bereits die Gefahr, dass personenbezogene Daten in unbefugte Hände gelangt sein könnten. Sorgfältige Verschlüsselungskonzepte, die konsequent nachgehalten und dokumentiert werden, können beispielsweise die Reputations- und Haftungsrisiken reduzieren helfen.
14. Umsetzung des Auskunfts- und Löschungsrechtes der Betroffenen
    Schließlich sollte auch ein Prozess dafür eingerichtet sein, dass ein Betroffener – dies kann ein Bewohner, ein Klient, aber auch ein (ehemaliger) Mitarbeiter sein – Auskunft über die bzgl. seiner Person gespeicherten personenbezogenen Daten oder deren Löschung verlangt. Probleme bereitet auch hier in aller Regel die nicht hinreichend strukturierte bzw. dokumentierte Landschaft der Systeme und der nicht-technischen Datenspeicherungen, die an verschiedenen Orten bzgl. ein- und derselben Person existieren.